Sélection de la langue

Government of Canada / Gouvernement du Canada

Protection physique et environnementale

Précédent

Sur cette page

 

Les contrôles et les activités de la famille Protection physique et environnementale (PE) appuient le contrôle de l’accès physique des personnes autorisées aux systèmes, à l’équipement et aux environnements d’exploitation respectifs. Ils permettent de protéger les installations physiques et les infrastructures des systèmes ainsi que de protéger les systèmes contre les dangers environnementaux. En outre, ils fournissent des contrôles environnementaux appropriés des installations hébergeant des systèmes.

PE-01 Politique et procédures de protection physique et environnementale

Activité

  1. Développer, documenter et diffuser à [Affectation : personnel ou rôles définis par l’organisation]
    1. une stratégie de protection physique et environnementale [Sélection (un choix ou plus) : au niveau organisationnel; au niveau du processus lié à une mission ou à une activité; au niveau du système] qui
      1. définit l’objectif, la portée, les rôles, les responsabilités, l’engagement de la direction, la coordination entre les entités organisationnelles et la conformité
      2. est conforme aux lois, aux décrets, aux directives, à la réglementation, aux politiques, aux normes et aux lignes directrices applicables
    2. des procédures pour faciliter la mise en œuvre de la politique de protection physique et environnementale ainsi que des contrôles de protection physique et environnementale connexes
  2. Désigner une ou un [Affectation : responsable désigné par l’organisation] pour gérer l’élaboration, la documentation et la diffusion de la politique et des procédures de protection physique et environnementale
  3. Passer en revue et mettre à jour, par rapport à la protection physique et environnementale,
    1. la politique actuelle [Affectation : fréquence définie par l’organisation] ou à la suite de [Affectation : événements définis par l’organisation]
    2. les procédures [Affectation : fréquence définie par l’organisation] ou à la suite de [Affectation : événements définis par l’organisation]

Discussion

La politique et les procédures de protection physique et environnementale abordent les contrôles de la famille PE qui ont été mis en œuvre dans les systèmes et les organisations. La politique de gestion des risques est un facteur important dans l’établissement de telles politiques et procédures. Les politiques et les procédures contribuent à l’assurance de la sécurité et de la protection de la vie privée. Par conséquent, il est important que les programmes de sécurité et de protection de la vie privée collaborent à l’élaboration de la politique et des procédures de protection physique et environnementale.

En règle générale, les politiques et les procédures liées au programme de sécurité et de protection de la vie privée au niveau organisationnel sont préférables et peuvent éliminer le besoin pour des politiques et des procédures propres à la mission ou au système. La politique peut être intégrée à la politique générale de sécurité et de protection de la vie privée ou, inversement, elle peut être représentée par de multiples politiques tenant compte de la nature complexe de certaines organisations.

Les procédures peuvent être établies pour les programmes de sécurité et de protection de la vie privée, pour les processus liés à la mission ou aux activités, et pour les systèmes, le cas échéant. Les procédures décrivent comment les politiques ou les contrôles sont mis en œuvre et peuvent s’appliquer aux personnes ou aux rôles qui font l’objet de la procédure. Les procédures peuvent être documentées dans les plans de sécurité et de protection de la vie privée du système ou dans un ou plusieurs documents distincts.

Les événements qui peuvent précipiter une mise à jour de la politique et des procédures de protection physique et environnementale comprennent les conclusions d’une évaluation ou d’une vérification, des incidents ou violations de sécurité, et des changements apportés aux lois, aux décrets, aux directives, à la réglementation, aux politiques, aux normes et aux lignes directrices applicables. Répéter les contrôles ne constitue pas une politique ou une procédure organisationnelle.

Contrôles et activités connexes

AT-03, PM-09, PS-08, SI-02 et SI-12.

Améliorations

Aucune.

Références

Haut de la page 
 

PE-02 Autorisations d’accès physique

Contrôle

  1. Développer, approuver et tenir une liste des personnes disposant d’un accès autorisé à l’installation où se trouvent les systèmes
  2. Émettre des justificatifs d’identité pour autoriser l’accès à l’installation
  3. Passer en revue la liste d’accès qui fournit les détails quant aux personnes autorisées à accéder aux installations [Affectation : fréquence définie par l’organisation]
  4. Retirer les personnes de la liste d’accès aux installations lorsqu’un tel accès n’est plus nécessaire

Discussion

Les autorisations d’accès physique s’appliquent au personnel, aux visiteuses et aux visiteurs. Les personnes avec des justificatifs d’identité d’autorisation d’accès physique permanents ne sont pas considérées comme des visiteuses et visiteurs. Les justificatifs d’autorisation comprennent les laissez-passer, les cartes d’identité et les cartes à puce. Les organisations doivent déterminer la force des justificatifs d’autorisation nécessaires en fonction des lois, des décrets, des directives, de la réglementation, des politiques, des normes et des lignes directrices applicables. Il se peut que les autorisations d’accès physique ne soient pas nécessaires pour accéder à certaines zones dans les installations qui sont désignées comme zones d’accès public.

Contrôles et activités connexes

AT-03, AU-09, IA-04, MA-05, MP-02, PE-03, PE-04, PE-05, PE-08, PM-12, PS-03, PS-04, PS-05 et PS-06.

Améliorations

  • (01) Autorisations d’accès physique : Accès par poste ou rôle
    • Autoriser l’accès physique à l’installation qui héberge le système selon le poste ou le rôle de l’employée ou employé.
    • Discussion : L’accès à l’installation basé sur le rôle comprend l’accès au personnel permanent autorisé et de maintenance régulière/systématique, aux agentes et agents de service, au personnel médical d’urgence.
    • Contrôles et activités connexes : AC-02, AC-03 et AC-06.
  • (02) Autorisations d’accès physique : Deux formes d’identification
    • Exiger deux formes d’identification à partir des documents d’identification suivants pour l’accès aux visiteuses et visiteurs dans l’édifice où se trouvent les systèmes : [Affectation : liste des formes acceptables d’identification définies par l’organisation].
    • Discussion : Des exemples de formes acceptables d’identification comprennent les passeports, des cartes d’identité émises par le gouvernement fédéral, un gouvernement provincial ou territorial et des cartes d’identité de service militaire. Pour avoir accès à des installations au moyen de mécanismes automatisés, les organisations peuvent se servir de cartes d’entrée à identification par radiofréquence (RFID pour Radio Frequency Identification), de NIP et de biométrie. Les organisations doivent admettre que ces formes d’identification relèvent de renseignements personnels et ceux-ci doivent donc être protégés en conséquence.
    • Contrôles et activités connexes : IA-02, IA-04 et IA-05.
  • (03) Autorisations d’accès physique : Accès restreint sans escorte
    • Restreindre les accès sans escorte à l’installation qui héberge le système au personnel qui [Sélection (un choix ou plus) : possède les habilitations de sécurité pour toute l’information contenue dans le système; est formellement autorisé à accéder à toute l’information contenue dans le système; nécessite un accès à toute l’information contenue dans le système; [Affectation : autorisations d’accès physique définies par l’organisation]].
    • Discussion : Les personnes qui ne possèdent pas l’habilitation de sécurité, les approbations d’accès nécessaires ou qui n’ont pas besoin de savoir, sont escortées par des membres du personnel qui possèdent les autorisations d’accès physique appropriées pour veiller à ce que l’information ne soit pas exposée ou compromise.
    • Contrôles et activités connexes : PS-02 et PS-06.
  • (400) Autorisations d’accès physique : Exigences des cartes d’identité
    • S’assurer que les cartes d’identité respectent les exigences avant leur remise.
    • Discussion : Aucune.
    • Discussion au sein du GC : L’organisation émet à chaque membre de son personnel une carte d’identité qui inclut, au minimum, le nom de l’organisation, la photo et le nom de la ou du titulaire, un numéro de carte unique et une date d’expiration. Les cartes d’identité peuvent contenir des renseignements personnels et devraient donc être protégées en conséquence.
    • Contrôles et activités connexes : Aucun.

Références

Haut de la page 
 

PE-03 Contrôle d’accès physique

Contrôle

  1. Appliquer les autorisations d’accès physique aux [Affectation : points d’entrée et de sortie définis par l’organisation de l’installation où se trouvent les systèmes] des façons suivantes
    1. vérification des autorisations d’accès avant d’accorder l’accès aux installations
    2. en contrôlant l’entrée et la sortie de l’installation au moyen de [Sélection (un choix ou plus) : [Affectation : systèmes/dispositifs de contrôle d’accès physique désignés par l’organisation]; mécanismes de protection]
  2. Tenir des journaux de vérification d’accès physique pour [Affectation : points d’entrée et de sortie définis par l’organisation]
  3. Contrôler l’accès aux zones au sein de l’installation désignée comme étant accessible au public en mettant en œuvre les contrôles suivants : [Affectation : contrôles d’accès physique définis par l’organisation]
  4. Accompagner les visiteuses et visiteurs et contrôler leurs activités [Affectation : circonstances définies par l’organisation exigeant que les visiteuses et visiteurs soient accompagnés et qu’il y ait un contrôle de leurs activités]
  5. Fournir des clés sécurisées, des cartes d’accès, des cadenas, des coffres-forts ou d’autres dispositifs d’accès physique
  6. Inventaire [Affectation : dispositifs d’accès physique définis par l’organisation] tous les [Affectation : fréquence définie par l’organisation]
  7. Modifier les combinaisons et les clés [Affectation : fréquence définie par l’organisation] lorsque des clés sont perdues, lorsque des combinaisons sont compromises ou lorsque des employées et employés en possession de clés ou de cadenas sont transférés ou quittent leur poste
  1. Retirer l’identifiant de la carte d’accès de la liste ou la base de données des accès [Affectation : fréquence définie par l’organisation] lorsque la carte d’accès est perdue, égarée ou volée, ou lorsque la personne en possession de la carte est transférée ou quitte son poste

Discussion

Les contrôles d’accès physique s’appliquent au personnel, aux visiteuses et aux visiteurs. Les personnes avec des autorisations d’accès physique permanentes ne sont pas considérées comme des visiteuses et visiteurs. Les contrôles d’accès physiques pour les zones accessibles au public peuvent comprendre les journaux ou registres de contrôle d’accès physique, les mécanismes de protection ou les dispositifs ou barrières d’accès physique servant à prévenir les déplacements des zones accessibles au public aux zones non publiques. Les organisations doivent déterminer les types de mécanismes de protection nécessaires, y compris le personnel de sécurité professionnel, les utilisatrices et utilisateurs du système ou le personnel administratif. Les dispositifs de contrôle d’accès physique comprennent les clés, les verrous, les cadenas, les lecteurs biométriques et les lecteurs de cartes.

Les systèmes de contrôle d’accès physique doivent être conformes aux lois, aux décrets, aux directives, aux politiques, à la réglementation, aux normes et aux lignes directrices applicables. Les organisations peuvent employer les types de journaux de vérification de leur choix. Les journaux de vérification peuvent être procéduraux, automatisés ou une combinaison des deux. Les points d’accès physique peuvent inclure les points d’accès à l’installation, les points d’accès intérieurs aux systèmes qui exigent des contrôles d’accès supplémentaires ou les deux. Les composants des systèmes peuvent se trouver dans des zones désignées comme étant accessibles au public auxquelles les organisations contrôlent l’accès.

Contrôles et activités connexes

AT-03, AU-02, AU-06, AU-09, AU-13, CP-10, IA-03, IA-08, MA-05, MP-02, MP-04, PE-02, PE-04, PE-05, PE-08, PS-02, PS-03, PS-06, PS-07, RA-03, SC-28, SI-04 et SR-03.

Améliorations

  • (01) Contrôle d’accès physique : Accès au système
    • Appliquer les autorisations d’accès physique au système en plus des contrôles d’accès physique à l’installation qui se trouve dans [Affectation : espaces physiques définis par l’organisation qui contiennent un ou plusieurs composants du système].
    • Discussion : Le contrôle de l’accès physique au système procure une sécurité physique accrue dans les zones des installations où sont concentrés des composants de systèmes.
    • Contrôles et activités connexes : Aucun.
  • (02) Contrôle d’accès physique : Installation et systèmes
    • Effectuer des vérifications de sécurité [Affectation : fréquence définie par l’organisation] au périmètre physique de l’installation ou du système pour détecter toute exfiltration d’information ou retrait de composants de systèmes.
    • Discussion : L’organisation détermine la portée, la fréquence et/ou le caractère aléatoire des vérifications de sécurité pour atténuer de manière adéquate les risques associés aux exfiltrations.
    • Contrôles et activités connexes : AC-04 et SC-07.
  • (03) Contrôle d’accès physique : Garde continue
    • Mettre en place des gardiennes et gardiens de sécurité pour contrôler en permanence [Affectation : points d’accès physique définis par l’organisation] de l’installation qui héberge le système.
    • Discussion : Placer des gardiennes et des gardiens de sécurité aux points d’accès physique sélectionnés de l’installation permet de fournir aux organisations une capacité d’intervention plus rapide. Les gardiennes et gardiens de sécurité assurent également une surveillance humaine dans les zones de l’installation qui ne sont pas couvertes par la vidéo surveillance.
    • Contrôles et activités connexes : CP-06, CP-07 et PE-06.
  • (04) Contrôle d’accès physique : Contenants verrouillables
    • Utiliser des contenants verrouillables pour protéger [Affectation : composants de système définis par l’organisation] contre les accès physiques non autorisés.
    • Discussion : Le plus grand risque lorsque des dispositifs portables sont utilisés, comme des téléphones intelligents, des tablettes et des ordinateurs blocs-notes, est le vol. Les organisations peuvent se servir de contenants verrouillables pour réduire ou éliminer le risque de vol d’équipement ou de trafiquage. Ces contenants peuvent être de tailles variées, allant d’unités qui protègent un seul ordinateur bloc-notes aux vastes enceintes pouvant protéger plusieurs serveurs, ordinateurs et périphériques. Les contenants verrouillables peuvent être utilisés avec des câbles de sécurité ou des plaques de protection pour empêcher le vol du contenant verrouillé renfermant l’équipement informatique.
    • Contrôles et activités connexes : Aucun.
  • (05) Contrôle d’accès physique : Protection antitrafiquage
    • Employer des [Affectation : technologies antitrafiquage définies par l’organisation] pour [Sélection (un choix ou plus) : détecter; empêcher] le trafiquage physique ou la modification des [Affectation : composants matériels définis par l’organisation] du système.
    • Discussion : L’organisation peut mettre en place des mesures de détection et de prévention du trafiquage sur les composants matériels sélectionnés, ou encore des mesures de détection sur certains et des mesures de prévention sur d’autres. Les activités de détection et de prévention peuvent utiliser plusieurs types de mécanismes d’inviolabilité, notamment des étiquettes et des revêtements d’inviolabilité. Les programmes antitrafiquage permettent de détecter les modifications apportées au matériel à la suite d’un acte de contrefaçon et d’autres risques liés à la chaîne d’approvisionnement.
    • Contrôles et activités connexes : SA-16, SR-09 et SR-11.
  • (06) Contrôle d’accès physique : Tests d’intrusion des installations
    • Annulé : Intégré au contrôle CA-08.
  • (07) Contrôle d’accès physique : Barrières physiques
    • Restreindre l’accès au moyen de barrières physiques.
    • Discussion : Les barrières physiques comprennent les bornes de protection, les dalles de protection, les barrières de Jersey et les barrières hydrauliques destinées aux véhicules.
    • Contrôles et activités connexes : Aucun.
  • (08) Contrôle d’accès physique : Vestibules de contrôle d’accès
    • Employer des vestibules de contrôle d’accès dans [Affectation : emplacements dans l’installation définis par l‘organisation].
    • Discussion : Un vestibule de contrôle d’accès fait partie d’un système de contrôle d’accès qui fournit en général un espace entre deux jeux de portes à verrouillage réciproque. Les vestibules sont conçus pour empêcher que des personnes non autorisées suivent des personnes autorisées dans des installations dotées d’un accès contrôlé. Cette activité, aussi appelée accès à califourchon ou talonnage, résulte d’un accès non autorisé à l’installation. Les contrôleurs de portes à verrouillage réciproque peuvent être utilisés pour limiter le nombre de personnes entrant dans les points d’accès contrôlé et pour assurer des zones de confinement pendant que l’autorisation de l’accès physique est vérifiée.
      Ces contrôleurs peuvent être entièrement automatisés (c’est-à-dire qu’ils peuvent contrôler l’ouverture et la fermeture des portes) ou partiellement automatisés (c’est-à-dire utiliser des mécanismes de protection pour contrôler le nombre de personnes qui entrent dans la zone de confinement).
    • Contrôles et activités connexes : Aucun.
  • (400) Contrôle d’accès physique : Inspections de sécurité
    • Effectuer des inspections de sécurité dans les installations où de l’information ou des biens de nature délicate sont traités ou stockés, ou qui appuient des activités ou des services essentiels.
    • Discussion : Aucune.
    • Discussion au sein du GC : Les inspections de sécurité sont effectuées pour vérifier la conformité aux pratiques de sécurité du ministère. Elles doivent être effectuées par les personnes désignées, conformément aux processus et aux échéanciers définis. Dans les situations d’urgence ou de menaces accrues, la fréquence ou la portée des inspections de sécurité est augmentée pour atteindre un niveau de préparation plus élevé. Il est nécessaire de signaler toute situation non conforme conformément aux processus définis pour permettre la mise en œuvre de mesures correctives et, le cas échéant, faire un signalement aux autorités responsables.
    • Contrôles et activités connexes : Aucun.

Références

Haut de la page 
 

PE-04 Contrôle d’accès pour la transmission

Contrôle

Contrôler l’accès physique aux [Affectation : lignes de distribution et de transmission du système définies par l’organisation] dans ses installations utilisant les [Affectation : contrôles de sécurité définis par l’organisation].

Discussion

Les contrôles de sécurité appliqués aux lignes de distribution et de transmission des systèmes permettent de prévenir les dommages accidentels, les pannes et les modifications physiques. De tels contrôles peuvent également être nécessaires afin d’éviter l’écoute clandestine ou la modification des transmissions non chiffrées. Les contrôles de sécurité servant à contrôler l’accès physique aux lignes de distribution et de transmission des systèmes incluent la déconnexion ou le verrouillage des connecteurs non utilisés, le verrouillage des armoires de câblage, la protection du câblage par des conduits ou des chemins de câbles et l’écoute électronique des capteurs.

Contrôles et activités connexes

AT-03, IA-04, MP-02, MP-04, PE-02, PE-03, PE-05, PE-09, SC-07 et SC-08.

Améliorations

Aucune.

Références

GRC, Guide de gestion de l’accès (GSMGC-006) (réservé au GC)

Haut de la page 
 

PE-05 Contrôle d’accès aux dispositifs de sortie

Contrôle

Contrôler l’accès physique aux données transmises par les [Affectation : dispositifs de sortie définis par la ou le propriétaire du système] pour empêcher les personnes non autorisées d’obtenir les données de sortie.

Discussion

Les contrôles de l’accès physique aux dispositifs de sortie incluent le rangement des dispositifs de sortie dans des pièces verrouillées ou d’autres zones sécurisées dotées d’un contrôle d’accès avec clavier numérique ou lecteur de cartes et auxquelles seules les personnes autorisées peuvent accéder, le rangement des dispositifs de sortie dans des emplacements pouvant être surveillés par le personnel, l’installation de filtres d’écran et l’utilisation de casques d’écoute. Les écrans, les imprimantes, les numériseurs, les dispositifs audio, les télécopieurs et les photocopieurs sont des exemples de dispositifs de sortie.

Contrôles et activités connexes

PE-02, PE-03, PE-04 et PE-18.

Améliorations

  • (01) Contrôle d’accès aux dispositifs de sortie : Accès à la sortie par personnes autorisées
    • Annulé : Intégré au contrôle PE-05.
  • (02) Contrôle d’accès aux dispositifs de sortie : Associer l’identité des individus
    • Associer l’identité des individus aux données transmises par le dispositif.
    • Discussion : Les méthodes permettant d’associer l’identité des individus aux données transmises à partir des dispositifs de sortie comprennent l’installation de fonctionnalité de sécurité sur des télécopieurs, des copieurs et des imprimantes. Une telle fonctionnalité permet la mise en place de fonctions de sécurité sur les imprimantes, les photocopieurs et les télécopieurs permettant à l’organisation d’authentifier les utilisatrices et utilisateurs sur les dispositifs de sortie avant de leur transmettre les données de sortie.
    • Contrôles et activités connexes : Aucun.
  • (03) Contrôle d’accès aux dispositifs de sortie : Marquage des dispositifs de sortie
    • Annulé : Intégré au contrôle PE-22.

Références

GRC – GSMGC-015, Guide pour l’établissement des zones de sécurité matérielle (réservé au GC) (PDF)

Haut de la page 
 

PE-06 Surveillance de l’accès physique

Contrôle

  1. Surveiller l’accès physique aux installations où se trouvent les systèmes afin de détecter et d’intervenir en cas d’incident de sécurité physique
  2. Examiner les journaux d’accès physique tous les [Affectation : fréquence définie par l’organisation] et à la suite de [Affectation : événements ou indications potentielles d’événement définis par l’organisation]
  3. Coordonner les résultats des examens et des enquêtes avec sa capacité d’intervention en cas d’incident

Discussion

La surveillance de l’accès physique s’applique aux zones à accès public dans les installations de l’organisation. Elle peut être effectuée par des gardes de sécurité, de l’équipement de vidéosurveillance (c’est-à-dire les caméras) et des capteurs. L’examen des journaux d’accès physique peut aider à repérer les activités suspectes, les événements anormaux ou les menaces. Les examens peuvent être appuyés par les contrôles de journalisation des données de vérification, comme le contrôle AU-02, si les journaux d’accès font partie d’un système automatisé. Les capacités d’intervention en cas d’incident de l’organisation incluent les enquêtes associées aux incidents de sécurité physique et les interventions connexes. Les incidents comprennent les infractions de sécurité ou les activités d’accès physique suspectes. Les activités d’accès physique suspectes incluent les accès hors des heures normales de travail, les accès répétés aux zones auxquelles on n’accède pas normalement, les accès d’une durée anormalement longue et les accès ne respectant pas l’ordre établi.

Contrôles et activités connexes

AU-02, AU-06, AU-09, AU-12, CA-07, CP-10, IR-04 et IR-08.

Améliorations

  • (01) Surveillance de l’accès physique : Alarmes de détection d’intrusion et équipement de surveillance
    • Surveiller l’accès physique aux installations où se trouvent les systèmes au moyen d’alarmes de détection d’intrusion physique et d’équipement de surveillance.
    • Discussion : Les alarmes de détection d’intrusion physique peuvent être utilisées pour alerter le personnel de sécurité lors d’une tentative d’accès non autorisé à l’installation. Les systèmes d’alarme fonctionnent de concert avec des barrières physiques, des systèmes de contrôle d’accès physique et des mécanismes de protection en déclenchant une intervention lorsque ces autres formes de sécurité ont été compromises ou ont fait l’objet d’une atteinte à la sécurité.
      Les alarmes de détection d’intrusion peuvent comprendre différents types de dispositifs de capteur, comme des détecteurs de mouvement, des capteurs à contact et des détecteurs de bris de verre. L’équipement de surveillance comprend les caméras installées à des endroits stratégiques dans l’ensemble de l’installation. Si des vidéos de surveillance sont enregistrées, cela peut constituer des renseignements personnels et ces renseignements devraient être protégés adéquatement.
    • Contrôles et activités connexes : Aucun.
  • (02) Surveillance de l’accès physique : Automatisation de la reconnaissance des intrusions et des interventions
    • Reconnaître [Affectation : classes ou types d’intrusions définis par l’organisation] et appliquer [Affectation : mesures d’intervention définies par l’organisation] au moyen de [Affectation : mécanismes automatisés définis par l’organisation].
    • Discussion : Les mesures d’intervention peuvent comprendre l’envoi de notifications au personnel de l’organisation ou responsable de l’application de la loi sélectionné. Les mécanismes automatisés qui ont été mis en œuvre pour appliquer des mesures d’intervention comprennent des notifications des alertes, des courriels et des messages texte, ainsi que l’activation de mécanismes de verrouillage des portes. La surveillance de l’accès physique peut être coordonnée avec les systèmes de détection des intrusions et les capacités de surveillance des systèmes pour fournir une couverture des menaces intégrée pour l’organisation. Des précautions doivent être prises pour s’assurer de recueillir et de communiquer une quantité minimale de renseignements personnels dans le cadre de la reconnaissance des intrusions et des interventions.
    • Contrôles et activités connexes : SI-04.
  • (03) Surveillance de l’accès physique : Surveillance vidéo
      1. Employer la vidéo surveillance des [Affectation : secteurs opérationnels définis par l’organisation]
      2. Examiner les enregistrements vidéo [Affectation : fréquence définie par l’organisation]
      3. Conserver les enregistrements vidéo pendant [Affectation : délais définis par l’organisation]
    • Discussion : La surveillance vidéo vise l’enregistrement de vidéos aux fins d’examen ultérieur, si les circonstances le justifient. Les enregistrements vidéo font en général l’objet d’un examen pour détecter des événements ou des incidents anormaux. Il n’est pas obligatoire de surveiller la vidéo de surveillance, même si l’organisation peut décider de le faire. Une évaluation des menaces et des risques (EMR) permettra de mieux déterminer les détails de la conservation, du stockage, de l’utilisation ou de la diffusion de la vidéo. Avant d’installer des systèmes de surveillance vidéo (CCTV), il est important de faire des recherches relatives aux lois et réglementations locales. Les enregistrements vidéo peuvent recueillir et stocker des renseignements personnels et devraient donc être protégés de façon appropriée.
    • Contrôles et activités connexes : Aucun.
  • (04) Surveillance de l’accès physique : Surveillance de l’accès physique aux systèmes
    • Surveiller l’accès physique au système en plus de l’accès physique à l’installation qui se trouve dans [Affectation : espaces physiques définis par l’organisation qui contiennent un ou plusieurs composants du système].
    • Discussion : La surveillance de l’accès physique au système offre une plus grande surveillance des secteurs de l’installation où se retrouvent la plupart des composants du système, notamment les salles de serveurs, les aires d’entreposage des supports et les centres de communications. La surveillance de l’accès physique peut être coordonnée avec les systèmes de détection des intrusions et les capacités de surveillance des systèmes pour fournir une couverture des menaces approfondie et intégrée pour l’organisation.
    • Contrôles et activités connexes : Aucun.

Références

PE-07 Contrôle des visiteuses et visiteurs

Annulé : Intégré au contrôle PE-02 and PE-03.

Haut de la page 
 

PE-08 Registre des accès des visiteuses et visiteurs

Contrôle

  1. Tenir un registre des accès des visiteuses et visiteurs à l’installation où se trouve le système pendant [Affectation : délais définis par l’organisation]
  2. Examiner le registre des accès des visiteuses et visiteurs [Affectation : fréquence définie par l’organisation]
  3. Signaler les anomalies dans le registre des accès des visiteuses et visiteurs à [Affectation : personnel défini par l’organisation]

Discussion

Le registre des accès des visiteuses et visiteurs comprend le nom de la personne et son organisation, sa signature, les formes d’identification, la date de l’accès, les heures d’arrivée et de départ, le but de la visite, et le nom et l’organisation de la personne visitée. Les examens du registre des accès déterminent si les autorisations d’accès sont à jour et s’il est toujours nécessaire pour soutenir la mission et les activités d’organisation. Un tel registre n’est pas requis dans les lieux publics. Les signatures et l’identification des visiteuses et visiteurs, ainsi que (à l’occasion) l’objet de la visite, peuvent être considérées comme étant des renseignements personnels qu’il convient de protéger en conséquence. Les organisations devraient s’adresser à la ou au haut fonctionnaire ou cadre supérieur approprié en matière de protection de la vie privée pour obtenir de l’information.

Discussion au sein du GC

Lorsque cela est approprié, le registre des accès peut comprendre l’entrée et la sortie d’installations, de zones ou de zones sensibles en particulier. Ces activités sont consignées conformément aux pratiques de sécurité ministérielles et aux calendriers de conservation et de disposition des documents.

Contrôles et activités connexes

PE-02, PE-03 et PE-06.

Améliorations

  • (01) Registre des accès des visiteuses et visiteurs : Tenue et examen automatisés du registre
    • Tenir un registre des accès des visiteuses et visiteurs au moyen de [Affectation : mécanismes automatisés définis par l’organisation].
    • Discussion : Les registres des accès des visiteuses et visiteurs peuvent être stockés et tenus dans une base de données accessible au personnel de l’organisation pour lequel le besoin de savoir a été consigné. L’accès automatisé à ces registres facilite les examens des registres sur une base régulière afin de déterminer si les autorisations d’accès sont à jour et si elles sont toujours nécessaires pour soutenir la mission et les activités d’organisation. Un examen de cette base de données doit être effectué périodiquement pour s’assurer de la conformité au calendrier de conservation approuvé par l’organisation.
    • Contrôles et activités connexes : Aucun.
  • (02) Registre des accès des visiteuses et visiteurs : Registre des accès physiques
    • Annulé : Intégré au contrôle PE-02.
  • (03) Registre des accès des visiteuses et visiteurs : Limitation des éléments liés aux renseignements personnels
    • Limiter les renseignements personnels contenus dans les registres d’accès des visiteuses et visiteurs aux éléments suivants identifiés dans l’évaluation des risques d’atteinte à la vie privée : [Affectation : éléments définis par l’organisation].
    • Discussion : L’organisation peut avoir des exigences qui précisent le contenu des registres des accès des visiteuses et visiteurs. Des précautions doivent être prises pour s’assurer de recueillir et de stocker une quantité minimale de renseignements personnels pour les registres des accès des visiteuses et visiteurs lorsque ces renseignements ne sont pas nécessaires à des fins opérationnelles. Cela contribuera à réduire le niveau de risque d’atteinte à la vie privée créé par un tel système.
    • Contrôles et activités connexes : RA-03 et SA-08.

Références

Haut de la page 
 

PE-09 Équipement et câblage d’alimentation

Contrôle

Protéger l’équipement et le câblage d’alimentation du système contre les dommages et la destruction.

Discussion

Les organisations déterminent les types de protection nécessaires à l’équipement et au câble d’alimentation dans différents emplacements internes et externes de l’installation et de l’environnement opérationnel de l’organisation. Les types d’équipement et de câblage d’alimentation comprennent le câblage interne et les sources d’alimentation sans coupure dans les bureaux ou les centres de données, les génératrices et le câblage d’alimentation à l’extérieur de l’édifice, et les sources d’alimentation provenant d’entités autonomes comme des satellites, des véhicules et d’autres systèmes déployables.

Contrôles et activités connexes

PE-04.

Améliorations

  • (01) Équipement et câblage d’alimentation : Câblage redondant
    • Employer des chemins de câblage d’alimentation redondant qui sont installés à une distance de [Affectation : distance définie par l’organisation].
    • Discussion : Les câbles d’alimentation redondants et distants permettent d’assurer une alimentation continue si l’un des câbles est coupé ou endommagé.
    • Contrôles et activités connexes : Aucun.
  • (02) Équipement et câblage d’alimentation : Contrôles de tension automatisés
    • Utiliser des contrôles de tension automatisés pour [Affectation : composants essentiels du système définis par l’organisation].
    • Discussion : Les contrôles de tension automatisés peuvent surveiller et contrôler la tension. De tels contrôles comprennent les régulateurs de tension, les conditionneurs de tension et les stabilisateurs de tension.
    • Contrôles et activités connexes : Aucun.

Références

Aucune.

Haut de la page 
 

PE-10 Arrêt d’urgence

Contrôle

  1. Pouvoir, en situation d’urgence, couper l’alimentation de [Affectation : système; composants individuels de système désignés par l’organisation]
  2. Placer des interrupteurs ou des dispositifs d’arrêt d’urgence dans [Affectation : liste définie par l’organisation des emplacements par système ou composant de système] pour faciliter l’accès au personnel
  3. Protéger la capacité d’interruption d’urgence de l’alimentation contre toute activation non autorisée

Discussion

L’interruption d’urgence de l’alimentation touche principalement les installations de l’organisation qui contiennent des concentrations de ressources système, comme des centres de données, des salles de serveurs et d’ordinateurs centraux et les zones où on retrouve des appareils contrôlés par ordinateur.

Contrôles et activités connexes

PE-15.

Améliorations

  • (01) Arrêt d’urgence : Activation accidentelle et non autorisée
    • Annulé : Intégré au contrôle PE-10.

Références

Aucune.

Haut de la page 
 

PE-11 Alimentation d’urgence

Contrôle

Prévoir un système d’alimentation sans coupure pour faciliter [Sélection (un choix ou plus) : l’arrêt ordonné du système; le réacheminement du système vers une source d’alimentation de secours à long terme] dans l’éventualité d’une perte de la source d’alimentation principale.

Discussion

Un système d’alimentation sans coupure (UPS pour Uninterruptible Power Supply) est un système ou mécanisme électrique qui procure une alimentation d’urgence lors d’une panne de la source d’alimentation principale. On utilise habituellement les UPS pour protéger les ordinateurs, les centres de données, l’équipement de télécommunications ou d’autres équipements électriques lorsqu’une panne de courant imprévue risque de causer des blessures, des décès, d’importantes interruptions dans la mission ou les activités, ou une perte de données ou d’information. Un UPS est différent d’un système d’alimentation sans coupure ou d’une génératrice auxiliaire dans la mesure où il fournit une protection quasi instantanée contre les interruptions d’alimentation imprévues de la source principale en utilisant l’énergie stockée dans des piles, des supercondensateurs ou des volants d’inertie. La durée de la pile d’un UPS est relativement courte, mais elle offre suffisamment de temps pour passer à une source d’alimentation de secours, comme une génératrice auxiliaire, ou arrêter correctement le système.

Contrôles et activités connexes

AT-03, CP-02 et CP-07.

Améliorations

  • (01) Alimentation d’urgence : Source d’alimentation de secours – Capacité opérationnelle minimale
    • Fournir une source d’alimentation de secours au système qui est activé [Sélection (un choix) : manuellement; automatiquement] et qui est capable de maintenir la capacité opérationnelle minimale requise dans l’éventualité d’une perte prolongée de la source d’alimentation principale.
    • Discussion : Le provisionnement d’une source d’alimentation de secours avec une capacité opérationnelle minimale peut se faire en accédant à une source d’alimentation commerciale secondaire ou à une autre source d’alimentation externe.
    • Contrôles et activités connexes : Aucun.
  • (02) Alimentation d’urgence : Source d’alimentation de secours – Autonome
    • Fournir une source d’alimentation de secours au système qui est activé [Sélection (un choix) : manuellement; automatiquement] et qui est
      1. autonome
      2. indépendante de toute source d’alimentation externe
      3. capable de maintenir [Sélection(1) : la capacité opérationnelle minimale requise; une capacité opérationnelle totale] dans l’éventualité d’une perte prolongée de la source d’alimentation principale
    • Discussion : Le provisionnement d’une source d’alimentation à long terme et autonome peut être réalisé en utilisant au moins une génératrice dotée d’une capacité suffisante pour répondre aux besoins de l’organisation.
    • Contrôles et activités connexes : Aucun.

Références

Haut de la page 
 

PE-12 Éclairage de sécurité

Contrôle

Utiliser et entretenir, pour le système, un système automatique d’éclairage de sécurité qui entre en fonction lorsqu’il y a coupure ou interruption de courant et qui éclaire les sorties d’urgence et les chemins d’évacuation dans l’installation.

Discussion

Il importe principalement de fournir un éclairage de sécurité dans les installations de l’organisation qui contiennent une concentration de ressources système, comme les centres de données, les salles des serveurs et les salles d’ordinateurs centraux. L’éclairage de sécurité fourni au système est décrit dans le plan d’urgence de l’organisation. Si l’éclairage de sécurité du système ne s’active pas ou ne peut être fourni, l’organisation considère des sites de traitement de secours pour les éventualités liées à l’alimentation.

Contrôles et activités connexes

CP-02 et CP-07.

Améliorations

  • (01) Éclairage de sécurité : Fonctions opérationnelles et de mission essentielles
    • Prévoir l’éclairage de sécurité de toutes les zones de l’installation prenant en charge les fonctions opérationnelles et de mission essentielles.
    • Discussion : Les organisations définissent leurs fonctions opérationnelles et de mission essentielles.
    • Contrôles et activités connexes : Aucun.

Références

GRC, Guide sur les considérations liées à l’éclairage de sécurité (GCPSG-004)

Haut de la page 
 

PE-13 Protection contre les incendies

Contrôle

Utiliser et maintenir des dispositifs et systèmes de détection et d’extinction d’incendie alimentés par une source d’énergie indépendante.

Discussion

Il importe principalement de fournir des systèmes de détection et d’extinction d’incendie dans les installations de l’organisation qui contiennent une concentration de ressources système, comme les centres de données, les salles des serveurs et les salles d’ordinateurs centraux. Les systèmes de détection et d’extinction d’incendie susceptibles d’exiger une source d’énergie indépendante comprennent les systèmes de gicleurs et les détecteurs de fumée. Une source d’énergie indépendante est une source d’énergie, comme un miniréseau, qui est séparé, ou pourrait être séparé, des sources d’énergie fournissant l’alimentation aux autres parties de l’installation.

Contrôles et activités connexes

AT-03.

Améliorations

  • (01) Protection contre les incendies : Systèmes de détection − Activation et avis automatiques
    • Utiliser, pour le système, des dispositifs ou systèmes de détection d’incendie qui s’activent automatiquement et informent [Affectation : personnel ou rôles définis par l’organisation] et [Affectation : intervenantes et intervenants d’urgence désignés par l’organisation] dans l’éventualité d’un incendie.
    • Discussion : L’organisation peut préciser le personnel, les rôles et les intervenantes et intervenants d’urgence advenant le cas où les personnes se trouvant sur la liste de notification sont tenues d’avoir les autorisations d’accès et les habilitations de sécurité appropriées (par exemple, pour accéder aux installations où l’accès est limité en raison de la classification ou du niveau d’incidence de l’information dans l’installation). Les mécanismes de notification peuvent demander des sources d’énergie indépendantes pour assurer que la capacité de notification ne soit pas entravée par un incendie.
    • Contrôles et activités connexes : Aucun.
  • (02) Protection contre les incendies : Systèmes d’extinction − Activation et avis automatiques
      1. Utiliser, pour le système, des dispositifs ou systèmes d’extinction d’incendie qui s’activent automatiquement et informent [Affectation : personnel ou rôles définis par l’organisation] et [Affectation : intervenantes et intervenants d’urgence désignés par l’organisation]
      2. Utiliser, pour le système, une capacité d’extinction automatique d’incendie lorsque l’installation n’a pas de personnel affecté de façon continue
    • Discussion : L’organisation peut préciser le personnel, les rôles et les intervenantes et intervenants d’urgence advenant le cas où les personnes se trouvant sur la liste de notifications sont tenues d’avoir les autorisations d’accès appropriées et les habilitations de sécurité appropriées (par exemple, pour accéder aux installations où l’accès est limité en raison du niveau d’incidence ou de la classification de l’information dans l’installation). Les mécanismes de notification peuvent demander des sources d’énergie indépendantes pour assurer que la capacité de notification ne soit pas entravée par un incendie.
    • Contrôles et activités connexes : Aucun.
  • (03) Protection contre les incendies : Extinction automatique d’incendie
    • Annulé : Intégré au contrôle PE-13(02).
  • (04) Protection contre les incendies : Inspections
    • S’assurer que l’installation est [Affectation : fréquence définie par l’organisation] inspectée par des inspectrices et inspecteurs autorisés et qualifiés, et que les problèmes relevés sont corrigés dans les [Affectation : délais définis par l’organisation] suivants.
    • Discussion : Le personnel autorisé et compétent dans la juridiction de l’organisation comprend les inspectrices et inspecteurs des incendies et les cheffes et chefs du service des incendies provinciaux et municipaux. L’organisation fournit des accompagnatrices et accompagnateurs durant les inspections lorsque les systèmes qui se trouvent dans les installations comportent de l’information sensible.
    • Contrôles et activités connexes : Aucun.
  • (400) Protection contre les incendies : Services d’urgence
    • S’assurer de tenir compte de la capacité en eau nécessaire pour l’extinction d’incendie et d’avoir des délais de réponse efficaces pour les services d’urgence dans le cadre de l’élaboration des stratégies de protection.
    • Discussion : La capacité en eau nécessaire pour l’extinction d’incendie et des délais de réponse efficaces de la part des services d’incendie et de police doit être prise en compte lors de l’élaboration de stratégies de protection, en fonction des principes de protection, de détection et d’intervention. Cela s’applique à la sélection du site, aux installations et aux biens. Si les délais de réponse en cas d’urgence sont inadéquats, des mesures de secours ou supplémentaires peuvent s’avérer nécessaires pour assurer la sécurité des individus et la protection des biens.
    • Contrôles et activités connexes : Aucun.

Références

Haut de la page 
 

PE-14 Contrôles environnementaux

Contrôle

  1. Maintenir les niveaux [Sélection (un choix ou plus) : de température; d’humidité; de pression; de rayonnement; [Affectation : contrôle environnemental défini par l’organisation]] dans l’installation où se trouve le système à [Affectation : niveaux acceptables définis par l’organisation]
  2. Surveiller les niveaux des contrôles environnementaux [Affectation : fréquence définie par l’organisation]

Discussion

Il importe principalement de fournir des contrôles environnementaux dans les installations de l’organisation qui contiennent une concentration de ressources système, comme les centres de données, les salles d’ordinateurs centraux et les salles des serveurs. Des contrôles environnementaux insuffisants, en particulier dans des environnements très difficiles, peuvent avoir des répercussions négatives importantes sur la disponibilité des systèmes et des composants du système nécessaires au soutien de la mission et des activités de l’organisation.

Contrôles et activités connexes

AT-03, CP-02.

Améliorations

  • (01) Contrôles environnementaux : Contrôles automatisés
    • Employer les contrôles environnementaux automatisés dans l’installation pour empêcher des fluctuations du système pouvant être potentiellement préjudiciables : [Affectation : contrôles environnementaux automatisés définis par l’organisation].
    • Discussion : La mise en œuvre de contrôles environnementaux automatisés fournit une réponse immédiate aux conditions environnementales qui peuvent endommager, dégrader ou détruire les systèmes de l’organisation ou les composants des systèmes.
    • Contrôles et activités connexes : Aucun.
  • (02) Contrôles environnementaux : Surveillance avec des alarmes et des notifications
    • Utiliser une surveillance des contrôles environnementaux qui fournit une alarme ou une notification des changements potentiellement préjudiciables pour le personnel ou l’équipement à [Affectation : personnel ou rôles définis par l’organisation].
    • Discussion : L’alarme ou la notification peut prendre la forme d’une alarme audible ou d‘un message visuel en temps réel adressé au personnel ou aux rôles définis par l’organisation. Ces alarmes et notifications peuvent aider à minimiser les préjudices que peuvent subir des individus et les dommages aux biens organisationnels en facilitant une intervention en cas d’urgence en temps opportun.
    • Contrôles et activités connexes : Aucun.

Références

Aucune.

Haut de la page 
 

PE-15 Protection contre les dégâts d’eau

Contrôle

Protéger le système contre tout dommage causé par une fuite d’eau en recourant à des robinets d’arrêt ou d’isolement accessibles qui fonctionnent adéquatement et dont le personnel concerné connaît l’emplacement.

Discussion

Il importe principalement de fournir une protection contre les dégâts d’eau dans les installations de l’organisation qui contiennent une concentration de ressources système, comme les centres de données, les salles des serveurs et les salles d’ordinateurs centraux. Les robinets d’isolement peuvent être employés en plus ou à la place de robinets d’arrêt pour fermer l’approvisionnement en eau dans des zones données sans que toute l’organisation soit touchée.

Contrôles et activités connexes

AT-03 et PE-10.

Améliorations

  • (01) Protection contre les dégâts d’eau : Soutien automatisé
    • Détecter la présence d’eau près du système et alerter [Affectation : personnel ou rôles définis par l’organisation] au moyen de [Affectation : mécanismes automatisés définis par l’organisation].
    • Discussion : Les mécanismes automatisés comprennent les systèmes de notification, les capteurs de détection d’eau et les alarmes.
    • Contrôles et activités connexes : Aucun.

Références

Aucune.

Haut de la page 
 

PE-16 Livraison et retrait

Contrôle

  1. Autoriser et contrôler [Affectation : types de composants du système définis par l’organisation] entrant et sortant de l’installation
  2. Tenir des registres des composants du système

Discussion

Appliquer des autorisations d’entrée et de sortie des composants du système peut exiger une restriction de l’accès aux aires de livraison et leur isolation du système et des bibliothèques de supports.

Contrôles et activités connexes

CM-03, CM-08, MA-02, MA-03, MP-05, PE-20, SR-02, SR-03, SR-04 et SR-06.

Améliorations

Aucune.

Références

GRC, GCPSG-006 Guide de gestion de l’accès (réservé au GC)

Haut de la page 
 

PE-17 Autres lieux de travail

Contrôle

  1. Déterminer et documenter les [Affectation : autres lieux de travail définis par l’organisation] que peuvent utiliser les employées et employés
  2. Employer les contrôles suivants dans d’autres lieux de travail : [Affectation : contrôles définis par l’organisation]
  3. Évaluer l’efficacité des contrôles dans d’autres lieux de travail
  4. Fournir aux employées et employés un moyen de communiquer avec le personnel responsable de la sécurité et de la protection de la vie privée de l’information en cas d’incidents

Discussion

Parmi les autres lieux de travail, notons les installations du gouvernement ou les résidences privées des employées et employés. Bien qu’ils se distinguent des autres sites de traitement, les autres lieux de travail peuvent constituer des solutions de rechange facilement accessibles pendant des opérations d’urgence. L’organisation peut définir différents ensembles de contrôles pour des lieux de travail ou des types de sites précis selon les activités professionnelles qui y sont menées. Mettre en œuvre et évaluer l’efficacité des contrôles définis par l’organisation et fournir un moyen de communication des incidents aux autres lieux de travail permettront d’appuyer les activités de planification d’urgence des organisations.

Contrôles et activités connexes

AC-17, AC-18 et CP-07.

Améliorations

Aucune.

Références

GRC, Considérations de sécurité matérielle pour les environnements de télétravail et de travail à distance (GSMGC-008)

Haut de la page 
 

PE-18 Emplacement des composants du système

Contrôle

Installer les composants du système de manière à réduire au minimum les dommages que pourraient causer [Affectation : risques physiques et environnementaux définis par l’organisation], de même que les possibilités d’accès non autorisé.

Discussion

Les risques physiques et environnementaux comprennent les inondations, les tsunamis, les incendies, les tornades, les tremblements de terre, les ouragans, les actes terroristes, le vandalisme, les impulsions électromagnétiques, les interférences électriques et d’autres formes de rayonnements électromagnétiques. Les organisations choisissent l’emplacement des points d’entrée de manière à ce qu’une personne non autorisée, à qui l’accès est interdit, ne puisse s’approcher des systèmes. Une telle proximité peut accroître le risque d’un accès non autorisé aux communications de l’organisation au moyen de microphones de reniflage de paquets sans fil ou dans le cadre d’une divulgation non autorisée d’information.

Contrôles et activités connexes

CP-02, PE-05, PE-19, PE-20 et RA-03.

Améliorations

  • (01) Emplacement des composants du système : Site de l’installation
    • Withdrawn: Moved to PE-23.

Références

Haut de la page 
 

PE-19 Fuite d’information

Contrôle

Protéger le système contre les fuites d’information dues à l’émission de signaux électromagnétiques.

Discussion

On entend par fuite d’information toute divulgation intentionnelle ou non intentionnelle d’information ou de données à un environnement non fiable résultant de l’émission de signaux électromagnétiques. La catégorisation ou la classification de sécurité des systèmes (en ce qui a trait à la confidentialité), les stratégies de sécurité et de confidentialité organisationnelles et la tolérance au risque permettent de sélectionner les contrôles employés pour protéger les systèmes contre les fuites d’information liées à l’émission de signaux électromagnétiques.

Contrôles et activités connexes

AC-18, PE-18, PE-20.

Améliorations

  • (01) Fuite d’information : Stratégies et procédures nationales en matière d’émission
    • Protéger les composants du système, les communications de données connexes ainsi que les réseaux conformément aux stratégies et procédures nationales en ce qui a trait aux émissions et à la norme TEMPEST.
    • Discussion : Les stratégies d’émissions comprennent les anciennes stratégies en matière de norme TEMPEST.
    • Contrôles et activités connexes : Aucun.

Références

Haut de la page 
 

PE-20 Surveillance et suivi des biens

Contrôle

Utilise [Affectation : technologies associées à l’emplacement des biens définies par l’organisation] pour procéder au suivi et à la surveillance de l’emplacement et des déplacements des [Affectation : biens définis par l’organisation] dans [Affectation : zones contrôles définies par l’organisation].

Discussion

Grâce aux technologies associées à l’emplacement des biens, les organisations peuvent veiller à ce que les biens essentiels, comme les véhicules, l’équipement et les composants du système, demeurent dans les emplacements autorisés. Les organisations consultent la haute ou le haut fonctionnaire ou cadre supérieure ou supérieur en matière de protection de la vie privée ou les services juridiques concernant la mise en œuvre et l’utilisation de technologies associées à l’emplacement des biens pour aborder de possibles préoccupations en matière de protection de la vie privée.

Discussion au sein du GC

Les données de localisation des employées et employés du GC au moyen de biens du GC dans l’exercice de leurs fonctions ne sont pas considérées comme étant des renseignements personnels. Bien que ces données puissent être sensibles, protégées ou classifiées selon la nature de leurs fonctions, elles ne sont pas considérées des renseignements personnels si elles ont été créées alors que l’employée ou employé exerçait des fonctions officielles. Dans le cas où une ou un employé décide d’utiliser son bien du GC (par exemple, un véhicule, un téléphone cellulaire) à des fins personnelles, ces données pourraient être considérées comme étant des renseignements personnels, mais aussi une utilisation inappropriée de biens du GC. Dans de tels cas, un avis remis aux employées et employés indiquant que leurs biens du GC font l’objet d’un suivi et d’une surveillance permettrait d’atténuer les préoccupations en matière de respect de la vie privée en ce qui a trait à la création de renseignements personnels associés à une utilisation inappropriée de tels biens.

Contrôles et activités connexes

CM-08, PE-16, PM-08.

Améliorations

Aucune.

Références

Haut de la page 
 

PE-21 Protection contre les impulsions électromagnétiques

Contrôle

Employer des [Affectation : mesures de protection définies par l’organisation] contre les dommages causés par des impulsions électromagnétiques (IEM) pour les [Affectation : systèmes et composants des systèmes désignés par l’organisation].

Discussion

Une IEM est un rayonnement d’énergie électromagnétique de forte intensité et de courte durée qui s’étend dans une gamme de fréquences. De tels rayonnements d’énergie peuvent être d’origine naturelle ou humaine. L’interférence par IEM peut provoquer des perturbations ou des dommages à l’équipement électronique. Les mesures de protection utilisées pour atténuer le risque d’IEM comprennent le recours au blindage, aux limiteurs de surtension, aux transformateurs ferrorésistants, et la mise à la terre. La protection contre les IEM peut être particulièrement importante pour les systèmes et applications qui font partie des infrastructures essentielles du Canada.

Contrôles et activités connexes

PE-18 et PE-19.

Améliorations

Aucune.

Références

Aucune.

Haut de la page 
 

PE-22 Marquage des composants

Contrôle Marquer les [Affectation : composants matériels des systèmes définis par l’organisation] indiquant le niveau d’incidence ou de classification de l’information pouvant être traitée, stockée ou transmise par le composant matériel.

Discussion

Les composants matériels pouvant nécessiter un marquage comprennent les dispositifs d’entrée et de sortie. Les ordinateurs de bureau et bloc-notes, les claviers, les tablettes et les téléphones intelligents sont des dispositifs d’entrée et de sortie. Les dispositifs de sortie comprennent les imprimantes, les moniteurs, les écrans vidéo, les télécopieurs, les numériseurs, les photocopieurs et les dispositifs audio. Les autorisations qui contrôlent les dispositifs d’entrée et de sortie sont abordées dans les contrôles AC-03 et AC-04. Les composants sont marqués pour indiquer le niveau d’incidence ou de classification du système auxquels les dispositifs sont connectés, ou le niveau d’incidence ou de classification de l’information autorisée à sortir.

Le « marquage de sécurité » désigne l’utilisation d’attributs de sécurité lisibles par des humains. L’« étiquetage de sécurité » désigne l’utilisation d’attributs de sécurité liés aux structures de données internes du système. Le marquage de sécurité n’est généralement pas requis dans le cas des composants matériels qui traitent, stockent ou transmettent de l’information qui, selon l’organisation, est du domaine public ou peut être diffusée publiquement. Toutefois, l’organisation peut exiger des marquages pour des composants matériels qui traitent, stockent ou transmettent de l’information du domaine public afin d’indiquer qu’une telle information peut être diffusée publiquement. Le marquage des composants matériels du système est conforme aux lois, aux décrets, aux directives, aux politiques, à la réglementation et aux normes applicables.

Contrôles et activités connexes

AC-03, AC-04, AC-16 et MP-03.

Améliorations

Aucune.

Références

Haut de la page 
 

PE-23 Emplacement de l’installation

Contrôle

  1. Prévoir l’emplacement ou le site de l’installation où le système réside en tenant compte des risques physiques et environnementaux
  2. Dans le cas d’installations existantes, tenir compte des risques physiques et environnementaux dans la stratégie de gestion des risques de l’organisation

Discussion

Les risques physiques et environnementaux comprennent les inondations, les tsunamis, les incendies, les tornades, les tremblements de terre, les ouragans, les actes terroristes, le vandalisme, les impulsions électromagnétiques, les interférences électriques et d’autres formes de radiations électromagnétiques. Les études environnementales et des terrains peuvent aider à choisir le ou les emplacements optimaux pour les installations afin de réduire le plus grand nombre de menaces environnementales possible. S’il est impossible d’éviter de telles menaces, ces études indiqueront les facteurs d’atténuation à employer, le cas échéant, pour limiter les dommages causés aux biens et l’interruption des services. Le contrôle PE-18 porte sur l’emplacement des composants du système dans l’installation.

Contrôles et activités connexes

CP-02, PE-18, PE-19, PM-08, PM-09 et RA-03.

Améliorations

Aucune.

Références

Aucune.

Haut de la page 
 

PE-400 Environnements à distance et de télétravail

Contrôle

  1. Évaluer la sécurité physique des environnements à distance et de télétravail
  2. Appliquer des exigences appropriées en matière de protection et de stockage pour l’information et les biens
  3. Utiliser un équipement de sécurité et des dispositifs électroniques approuvés conformément à la catégorisation du matériel

Discussion

Aucune.

Discussion au sein du GC

Des considérations liées à la sécurité doivent être prises dans des emplacements à distance ou de télétravail pour les ministères, les organismes et le personnel du GC. Le travail à distance ou télétravail peut accroître le risque de compromission de l’information sensible d’une organisation. Des auteurs de menace peuvent cibler l’information au moyen de différentes méthodes comme l’accès physique à l’information et aux dispositifs, le vol d’information ou de dispositifs, l’écoute clandestine lors de réunions et de conversations téléphoniques, et le survol de l’information et des dispositifs.

Les employées et employés qui travaillent dans un emplacement autre que le lieu de travail désigné devraient évaluer la sécurité physique et appliquer les exigences appropriées en matière de protection et de stockage de l’information et des biens du GC. Une évaluation des risques doit être effectuée dans toutes les situations impliquant le travail à distance ou le télétravail et des solutions de travail connexes doivent être trouvées.

Des documents classés PROTÉGÉ A et PROTÉGÉ B peuvent être traités et entreposés dans un lieu de travail à distance ou en télétravail situé à l’extérieur d’un lieu désigné du GC lorsque les mesures de sécurité matérielle sont en place. Le traitement d’information classée SECRET et TRÈS SECRET (TS) provenant d’alliés n’est autorisé que dans la zone appropriée d’une zone de sécurité désignée par le GC. Les informations sensibles cloisonnées (SCI pour Sensitive Compartmented Information) TS ne peuvent pas être traitées, stockées ou faire l’objet d’une discussion dans un environnement de télétravail. Dans la mesure du possible, il est recommandé d’empêcher ou de limiter l’utilisation de copies papier.

Les employées et employés devraient recevoir un équipement qui prend en charge et favorise un traitement, un stockage et un transport sécurisés de l’information du GC. Ils devraient également suivre une formation adéquate sur la sensibilisation en matière de sécurité pour être en mesure de se voir accorder leur demande de travail à distance et de télétravail. Des contrôles de sécurité adéquats doivent être accessibles et en place.

Un suivi des données pour les employées et employés ayant des ententes sur le télétravail doit être tenu et ces ententes doivent comprendre les noms, les emplacements, l’équipement fourni et les biens, ainsi que des registres de l’information amenée à l’emplacement du travail à distance ou du télétravail, le cas échéant. Il incombe aux employées et employés de comprendre et de mettre en œuvre toutes les mesures de contrôle de sécurité pour le travail à distance et le télétravail qui contribuent au traitement sécuritaire de l’information du GC à leur emplacement.

Contrôles et activités connexes

AT-02, PE-17, PE-23, RA-02 et RA-03.

Améliorations

  • (01) Environnements à distance et de télétravail : Rangement physique d’information et de biens
    • Conserver l’information physique et les biens conformément aux conseils de la GRC et des pratiques de sécurité établies par le ministère.
    • Discussion : Aucune.
    • Discussion au sein du GC : Il faut s’efforcer de limiter le traitement ou la conservation de copies papier (quelles que soient leurs catégories) dans des emplacements en dehors d’une installation contrôlée par le GC. La GRC ne recommande pas que de l’information confidentielle ou classée SECRET ou que des biens soient traités dans des environnements de travail à distance ou de télétravail, mais lorsque cela ne peut pas être évité, les exigences établies dans le document GRC, G1-001, Guide d’équipement de sécurité doivent être suivies.
      Le traitement et le stockage d’information PROTÉGÉ C ou TRÈS SECRET en dehors des installations approuvées par le GC est considéré comme posant un risque très élevé et n’est donc pas recommandé par la GRC. Si pour une raison quelconque ceci est impossible, la Sécurité physique du ministère doit effectuer une évaluation complète de la sécurité du site, notamment une EMR complète. Tous les contrôles de sécurité requis pour les zones de haute sécurité dans les installations du GC doivent être utilisés comme norme minimale en vue de l’aménagement d’un emplacement.
    • Contrôles et activités connexes : RA-02 et RA-03.
  • (02) Environnements à distance et de télétravail : Travail à distance et télétravail à l’étranger
    • Autoriser les demandes de travail à distance ou de télétravail à partir d’emplacements à l’étranger que dans des circonstances exceptionnelles.
    • Discussion : Aucune.
    • Discussion au sein du GC : Cette amélioration ne s’applique pas aux postes déjà affectés aux employées et employés travaillant à l’étranger dans le cadre de leurs tâches régulières, comme ceux affectés aux ambassades canadiennes, au haut-commissariat du Canada ou aux déploiements militaires. La GRC ne recommande pas d’autoriser le travail à distance ou le télétravail à partir d’emplacements à l’étranger. Les ministères qui peuvent autoriser le travail à distance ou le télétravail à l’étranger devraient élaborer un processus en tenant compte de l’ensemble des contrôles de sécurité, des évaluations des risques, des approbations et des breffages.
      Les demandes d’autorisation de travail à distance ou de télétravail à l’étranger peuvent être prises en considération dans des circonstances exceptionnelles; elles peuvent se limiter à une période spécifique définie; elles peuvent nécessiter une EMR complète pour ce qui touche l’employée ou employé, le pays et la ville où se fera le travail; et elles peuvent exiger une approbation supplémentaire de l’administratrice générale ou administrateur général, de la dirigeante principale ou du dirigeant principal de la sécurité (DPS), de la dirigeante principale des ressources humaines (DPRH) et de la dirigeante principale ou du DPI ainsi que de SPC. Le travail à distance ou le télétravail à l’étranger pose des risques accrus à la sécurité pour les employées et employés ainsi que pour le GC puisque la Convention de Vienne sur les relations diplomatiques (1963) ne s’appliquerait pas à ces employées et employés du GC. Les employées et employés sont soumis à toutes lois locales et étatiques, et ils ne bénéficient pas de protection diplomatique pour ce qui touche l’information, les biens ou la propriété, y compris l’information et les biens du GC. De plus, ce type de travail entraîne un risque accru lié à la sécurité physique et, dans certains pays, les contrôles de sécurité physique peuvent être très coûteux ou difficiles à tenir sans la présence d’un service de sécurité du ministère.
    • Contrôles et activités connexes : RA-03.

Références

Haut de la page 
 

PE-401 Centre des opérations de sécurité

Contrôle

Établir et tenir à jour un centre des opérations de sécurité (COS) pour protéger le personnel, la propriété, les biens et l’information de l’organisation par une surveillance et un suivi physiques et techniques.

Discussion

Un COS regroupe les gens, les processus et la technologie pour fournir des services opérationnels et d’autres services de sécurité aux organisations, notamment la protection des personnes, de la propriété, des biens et de l’information. Le COS fournit habituellement les installations pour soutenir le personnel de sécurité dans le cadre du suivi, de la surveillance, de la présentation, du contrôle et de la gestion d’événement en lien avec la sécurité, y compris les menaces internes. Le COS permet aux exploitants de système de recueillir de l’information en lien à un environnement physique ou à un cyberenvironnement pour l’analyser, pour détecter et évaluer les notifications d’alertes, et pour effectuer la répartition du personnel nécessaire pour intervenir adéquatement face aux événements. Un COS permet d’accroître la connaissance de la situation en ce qui a trait à l’environnement de l’organisation, en favorisant une prise de décisions et une intervention efficaces pendant un événement.

Le COS peut aider les équipes multidisciplinaires, notamment celles de la sécurité physique, des TI et de la sécurité des technologies opérationnelles (TO), les analystes, les ingénieures/ingénieurs, les architectes et autres fournisseurs de services. D’ailleurs, la convergence des TI et de la TO instaure de nouvelles exigences visant à évaluer le risque que posent l’information et la sécurité physique. Par exemple, le bon fonctionnement des systèmes de contrôle, comme ceux utilisés pour élaborer l’automatisation qui contrôle la température, les éclairs, les accès, etc., risquerait d’être touché si le logiciel ou l’application venait à être compromis.

Le contrôle IR-04(14) fournit de l’information sur un COS censé protéger l’infrastructure technique d’une organisation, qui comporte des systèmes et des réseaux.

Contrôles et activités connexes

IR-04.

Améliorations

Aucune.

    Références

     
    Précédent
    Date de modification :